引き続き、KodeKloud『Kubernetes Certified Security Specialist(CKS)』を進めていく。
今回は Cluster Setup & Hardening のセクション。

Cluster Setup & Hardening

Udemy の CKA コースにおける Security のセクションと重複する内容が全体の半分程度を占めていたので、この記事では CKS のコースで新規に登場した項目のみ記載する。
実際には重複した内容も復習のためあらためて受講した。

What are CIS Benchmarks

www.cisecurity.org

セキュリティを担保するための取り組みは多岐にわたる。サーバのセキュリティであればユーザの権限管理やファイアウォールの設定、ロギングによる記録、OS patchの適用など... それらのベンチマークの一つが CIS benchmark。CIS は Center for Internet Security の略。 CIS は様々なプラットフォームに対するベンチマークを提供しており、Kubernetes 向けのベンチマークも含まれる。

CIS は CIS-CAT というツールも提供しており、CIS Benchmarks のアセスメントを行える。

Lab: Run CIS Benchmarks Assessment Tool on Ubuntu

CIS-CAT ツールを Ubuntu マシン上で実際に動かしてみるハンズオン。 レポートを見ながら Fail した項目を修正するところまで試せる。

CIS benchmark for Kubernetes

Kubernetes における CIS benchmark について。
benchmark には、さまざまなコンポーネントについてどのような設定をすべきか記載されており、具体的な手順まで記載がある。

CIS-CAT Lite では Kubernetes のサポートはなく、Pro の利用が必要。

Kube-bench

github.com

Kube-bench は、Aqua security が提供する OSS ツール。
CIS benchmark で要求されている内容を満たしているかチェックできるツールとなっており、Kubernetes 上で Pod (Job) として実行できる。
そのほか、Docker container やバイナリ形式での実行もサポートされている。

Lab: Kube-bench

Kube-bench のバイナリをダウンロード、実行し、結果を見ながら Fail した項目を修正するハンズオン。
Kube-bench の出力の見方がわかるようになる。

Article on Setting up Basic Authentication

パスワードファイル/トークンファイルでの認証を構成する具体的な方法について。

Kubelet Security

kubernetes.io

kubelet のセキュリティについて。
kubelet も API を提供しており、デフォルトだと特に認証を必要とせず API を叩けてしまう。そこで、認可されていないユーザからのリクエストを拒否したり、証明書による認証をかけたりする方法について学ぶ。

また、kubelet は readOnlyPort を提供しており、ここもまた認証を必要とせずノードの情報を得られてしまうので、readOnlyPort を無効化する方法についても学ぶ。

Lab: Kubelet Security

実際に認証なしに kubelet の API を叩けてしまうことなどを確認し、KubeletConfiguration を修正してこれらの API の実行を不可能にするハンズオン。
KubeletConfiguration ファイルの場所を探すところから始まるので、段階を追って kubelet の堅牢化について学ぶことができる。

Kubectl Proxy & Port Forward

kubectl proxy と kubectl port-forward について。後続の講座のための前振り。 kubectl proxy は kube-apiserver に対するプロキシをローカルに立てる。プロキシに対して curl で API を叩くときは認証情報がいらなくなる（proxy が kubeconfig をよしなにやってくれるっぽい） kubectl port-forward はクラスタ内の Pod や Service のポートをローカルのポートにマッピングする。

Lab: Kubectl Proxy & Port Forward

kubectl proxy と kubectl port-forward を使ってみるハンズオン。クラスタ内のリソースやクラスタのAPIに対して localhost でアクセスできることを確認する。

Kubernetes Dashboard

kubernetes.io

Kubernetes Dashboard について。 GUI でクラスタのリソースを管理できるダッシュボード画面だが、本当になんでもできてしまうのでアクセス制御は慎重に行わなければならない。

デフォルトでは ClusterIP で公開されており、クラスタ外からアクセスするには kubectl proxy でプロキシすることが推奨される。これによりクラスタへの認証情報がない場合はダッシュボードにアクセスできない。 また、ダッシュボードへのログインを ServiceAccount の Bearer Token や kubeConfig ファイルで行う形にすることもできる。

Lab: Securing Kubernetes Dashboard

Kubernetes Dashboard のデプロイ、kubectl proxy によるアクセスの確認、ServiceAccount, Role, RoleBinding の作成による認可の制御を確認するハンズオン。

Verify platform binaries before deploying

Kubernetes クラスタコンポーネントのバイナリをダウンロードしたらチェックサムを確認しようねという話。 悪意の第三者がダウンロードされるファイル悪意のあるプログラムが実行されるバイナリにすり替えることがあるので。

チェックサムは shasum とか sha512sum コマンドで確認できる。

Lab: Verify platform binaries

GitHub からバイナリをダウンロードしてきて、チェックサムを確認するハンズオン。 複数の（ダウンロード済みの）ファイルから正しいファイルはどれ？みたいな設問もあってわかりやすい。

Docker Service Configuration

Docker デーモンの設定について。

/var/run/docker.sock に Docker の UNIX ソケットがあり、Docker CLI はこことやり取りしている。 デフォルトではシステムの外部からソケットにアクセスすることはできないため、Docker ホストとクライアントは同じである必要がある。
Docker デーモン起動時に、--host=tcp://{IP Address}:{Port} を指定することで、指定のポートで受け付けることができる。（例: --host=tcp://192.168.1.10:2375）
これにより、Docker ホスト外からのアクセスができるようになる。ホスト外から Docker CLI で指定のホストにアクセスするには、DOCKER_HOST 環境変数を指定する。（例: export DOCKER_HOST="tcp://192.168.1.10:2375"）
しかし、もしホストがインターネットに公開されている場合は、誰もがアクセスできてしまうため、このオプションはデフォルトで無効化されている。公開する場合はネットワークのセキュリティを考慮する必要がある。

もし Docker ホストを公開する場合は、通信の TLS 暗号化を行う。通信の TLS 暗号化は、--tls, --tlscert, --tlskey オプションで設定する。
（例: --tls=true --tlscert=/var/docker/server.pem --tlskey=/var/docker/serverkey.pem）

これらのオプションは設定ファイルに記述することもでき、/etc/docker/daemon.json ファイルに記述する。

{
  "debug": true,
  "hosts": ["tcp://192.168.1.10:2376"],
  "tls": true,
  "tlscert": "/var/docker/server.pem",
  "tlskey": "/var/docker/serverkey.pem"
}

Docker - Securing the Daemon

Docker デーモン、Docker ホストの保護について。

1. サーバ自体のセキュア化
   • パスワード認証を無効化し SSH 鍵認証を有効化する、ユーザを切る、不要なポートは閉じるなど
2. 通信の TLS 暗号化(上述)
   • Ref.: https://docs.docker.com/engine/security/protect-access/
3. Docker デーモンに証明書による認証を入れる
   • daemon.json に "tlsverify": true, "tlscacert": /path/to/cacert.pem を追加
   • クライアント側でも DOCKER_TLS_VERIFY=true 環境変数を設定しておき、~/.docker にクライアント証明書を配置しておく。

Cluster Setup & Hardening のセクションはここまで。 多層防御の考え方のもと、マシン、OS、Docker デーモン、Kubernetes コンポーネントなどなど様々な対象のセキュリティについて確認した。一通りさらったという印象なので、まだ整理がつかない部分もあるがひとまず先に進む。

実はこのセクションが一番ボリュームのあるセクションだったので、以降はもう少しスムーズに進められるといい。

Certified Kubernetes Security Specialist(CKS) の取得を目指して勉強していく。
CKA/CKAD の際にもお世話になった KodeKloud 上で CKS のコースが提供されているので、こちらをベースに勉強を進める。

kodekloud.com

ちなみに、KodeKloud はサブスクリプション型のサービスで、月額（または年額一括払い）で提供されている全てのコースを利用できる。
当然年額一括払いの方が月単価は下がるが、長くても数ヶ月で利用を終了しそうなので月額払いを選択した。

まずは Introduction ~ Understanding the Kubernetes Attack Surface を完了したので、記録。

Introduction

このコースと CKS 試験について、概要を説明するセクション。

Course Introduction

コース全体の説明。CKA/CKAD と同様にハンズオン形式のコースとなる。
コースはカリキュラムに従って以下の内容で提供される。

• Understanding Kubernetes Attack Surface
• Cluster Setup & Hardening
• System Hardening
• Minimizing Microservices Vulnerabilities
• Supply Chain Security
• Monitoring, Logging & Runtime Security
• Mock Exams

ちなみに試験のカリキュラムは以下。

github.com

Exam Information

CKS試験の概要について。

Certification Details

試験関連のリンク集。

Understanding the Kubernetes Attack Surface

The Attack

投票アプリケーションへの不正な介入のデモを通して「セキュリティ対策をなにもしていない K8s クラスタがあったとき、どのようなことができてしまうか」について見ることができる。
当初攻撃者はアプリケーションとそのドメインしか情報がない状況であるが、そこからいかにして侵入していくか見ることができおもしろい。

The 4C's of Cloud Native security

kubernetes.io

クラウドネイティブセキュリティにおける多層防御の考え方について。
4C とは以下の4つを指す。

• Cloud
  • インフラのセキュリティ。
  • クラウドプロバイダーのセキュリティやファイアウォールなど。etcd へのアクセスや暗号化もここに含まれる。
• Cluster
  • クラスタ自身のセキュリティ。
  • クラスタの認証認可やクラスタ全体の NetworkPolicy など。
• Container
  • 実行されるコンテナのセキュリティ。
  • コンテナの脆弱性スキャンや特権ユーザを拒否するなど。
• Code
  • 実行されるアプリケーションコードのセキュリティ。
  • 通信をTLSで暗号化することや、ライブラリの脆弱性など。
  • 基本的にこのコースでは扱う対象ではないが、Secret や mTLS による Pod 間通信の保護といったトピックは提供される。

感想

やはり CKA の取得を前提とする認定資格なだけあって、CKA/CKAD に比べてより実践的な内容と感じた。
今回取り組んだセクションはまだ概要といった内容ではあったが、"The Attack" の節で示された攻撃の例を見るとセキュリティの重要性について腑に落ちて理解できる。

次回以降、具体的な対応方法についてハンズオンを含めて扱うようなので、楽しみ。

2021年も1年お疲れ様でした。

hitsumabushi845.hatenablog.com

で掲げた目標について、結果を確認していきましょう。

資格をとる

今年受検したいと思っているものは以下の通り。
- CKA or CKAD
- TOEIC

今年は以下の認定資格を取得した。

• Certified Kubernetes Application Developer
  • 受検ログ: https://qiita.com/hitsumabushi845/items/a6ae8935eaf509fb5381
• Certified Kubernetes Administrator
  • 受検ログ: https://qiita.com/hitsumabushi845/items/1af69cc5db65a1607d70
• AWS Certified Solutions Architect - Associate
  • 受検ログ: https://qiita.com/hitsumabushi845/items/98c51cef2a11bf20f85f

今年はあまり英語を使う機会がなかったので、TOEIC の受検はとりやめた。 その代わり、業務で AWS を触る機会があったので、SAA を取得した。

おおむね目標通り。考えてみれば IT 系の資格は今年のこれらがはじめての取得。Credly にバッヂが増えていくのは気分がいいので、来年もコンスタントに資格を取っていきたい。

こまめにブログを書く

このブログでは特定の技術に関する話題以外の、技術以外の話やポエムなどを書いていきたいと思っている。
特定の技術要素については、せっかく Organization に属しているので Qiita に書くつもりでいる。 こまめにと言っても、せいぜい月2程度のペースでゆるくやっていきたい。

今年、Qiita には 16 件の記事を投稿した。 このブログには主に CKAD/CKA の学習ログを投稿しており、合算すると月2のペースはクリアできたと思う。

来年もこれくらいのペースで投稿できるとよい。

Terraform を勉強する

2021年から本業・副業ともに Terraform を扱うようなので、ゆるく勉強する。
仕事で使うのでまあ勉強できるだろうと高をくくっている。 特に到達目標はないが、仕事が回る程度に扱えればよいと思う。

中盤でのふりかえりでも述べたが、業務で扱う中でなんとなく雰囲気は掴めた気がする。
ちなみに Terraform を使った業務では GCP と OCI を主に扱っている。OCI は Resource Manager という IaC のサービスがあって、Terraform HCL をそのまま使えるので便利。

golang を勉強する

そろそろ新しい言語を勉強したい。
golang は、複数のプラットフォームに向けてコンパイルできるということで、かねてより興味は持っていたが、
Kubernetes に触れるようになったことでより勉強するモチベーションが上がっている。 とりあえず、Gopher 道場 を進めていこう。

最近は k8s のカスタムコントローラや Admission Webhook を実装しており、そのため Go に入門した感じがある。 しかし完全に雰囲気で進めてしまっているので、来年はもう少し体系的に勉強していきたい。

読みたいと思っている書籍はこれ。

www.oreilly.co.jp

おわりに & 来年へ向けて

今年掲げた目標はおおむね目標通りに推移したように思う。

今年初頭の自分をふりかえってみると、k8s マッタクワカランだったところから今は CKA/CKAD も取得して、CR や Admission Webhook もなんとなく実装できるようになった。
AWS/GCP/OCI についてもそれぞれ雰囲気程度には扱えるようになり、昨年までのオンプレおじさんから一転クラウドおじさんになった気がする。

というわけで、来年も引き続き勉強を続けていきたい。来年はもう少し本を読むようにしたいなぁ。 2022年の目標はまたお正月に書きましょう。

9月は忙しくあまり進められていなかったが、引き続き『Kubernetes Certified Administrator (CKA) with Practice Tests』を進めていく。 今回は Section 13: Troubleshooting と Section 14: Other Topics。トラブルシューティングは試験としても 30 % のボリュームを占める部分なので丁寧に進めていきましょう。

また、これで講座としては終了で、残るは Mock Exam(模擬試験)のみ。

Section 13: Troubleshooting

• Application Failure
  • アプリケーションのトラシューは Service と Pod の状態を見ようね
  • Service: matchLabel が正しいかとか
  • Pod: Pod がクラッシュしてないかとか、k logs で見よう。restart が走ってる場合は k logs -f とか、k logs --previous とかでエラーを確認しよう。
  • see also: https://kubernetes.io/docs/tasks/debug-application-cluster/debug-application-introspection/
  • see also: https://kubernetes.io/docs/tasks/debug-application-cluster/debug-application/
• Practice Test - Application Failure
  • Webapp Pod, Database Pod 構成における各種トラブルシューティング。
  • Webapp 側の接続先設定を直すのか、Database 側を直すのか曖昧な部分がちらほらあって手間取った
• Control Plane Failure
  • kubeadm でクラスタを構築した場合、Control Plane のコンポーネントは Pod で動いているので k get po -n kube-system で確認できる
  • service として動いている場合は service kube-apiserver status, service kubelet status など
  • service のログは k logs xxx -n kube-system や sudo journalctl -u xxx
  • see also: https://kubernetes.io/docs/tasks/debug-application-cluster/debug-cluster/
• Practice Test - Control Plane Failure
  • kube-scheduler や replicaset controller のトラブルシューティングをした
  • 主に static pod のマニフェスト修正
• Worker Node Failure
  • k get nodes で status が NotReady なノードがあった場合
  • k describe node node-name で確認
  • ノード側のリソース使用率の確認: top コマンドや df コマンドで
  • kubelet の確認: service kubelet status や sudo journalctl -u kubelet
  • 証明書の確認: openssl x509 -in /var/lib/kubelet/xxx.crt -text で Issuer や有効期限を見る
• Practice Test - Worker Node Failure
  • kubelet が停止しているケース、/var/lib/kubelet/config.yaml が誤っているケース、etc/kubernetes/kubelet.conf が誤っているケースについて
• Network Troubleshooting
  • うーむ、CNI プラグインのインストールって問われるんだろうか

Section 14: Other Topics

これは試験に役立つ Additional なトピックについて。 jsonpath と kubectl のコマンド。

• Pre-Requisites - JSON PATH
  • YAML, JSON PATH のトレーニングと、-ojson 時の出力を元にした所望のフィールドにアクセスする方法について。
• Advanced Kubectl Commands
  • -o=jsonpath=~~ や -o=custom-columns=COLUMN:JSONPATH, --sort-by=JSONPATH などについて。

さあ、残すは模試のみ!